漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0124088
漏洞标题:陕西师范大学信息管理不当可进OA及校内图书资源等
相关厂商:陕西师范大学
漏洞作者: Sia_water
提交时间:2015-07-02 14:20
修复时间:2015-07-07 14:22
公开时间:2015-07-07 14:22
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-02: 细节已通知厂商并且等待厂商处理中
2015-07-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
类型算是敏感信息泄露么。。
详细说明:
http://www.snnu.edu.cn/default.php 首页
https://sslvpn.snnu.edu.cn/por/login_psw.csp? ssl-vpn,提示非常明显需使用工号登录,之后通过搜索引擎寻找工号
非常贴心,,都整理好了
运气比较好,找了几个工号试了一下,密码也是用工号试的,可以登录,然后就是把工号扒下来,账号密码都用工号跑一边,不少都可以登录
这是一部分 可以登录vpn的账号
其余系统也是通用的账号如OA http://oa.snnu.edu.cn/Home/Login
一卡通 http://door.snnu.edu.cn/Home/Index
短信通 http://hqdt.snnu.edu.cn/sms 试了几个可惜权限太小
漏洞证明:
邮箱拿校长的简单试了下。。。没能登录
一卡通平台,能看到身份证什么的,1982022应该是管理员的账号。。密码改了。。也是没能登录
还有my.snnu.edu.cn 系统也需要在vpn下访问,也是需要账号的,跟工号一样。就不上图了。。
修复方案:
不太清楚。。加强管理?
版权声明:转载请注明来源 Sia_water@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-07-07 14:22
厂商回复:
最新状态:
暂无